Gondolom sokan hallották a hírt, miszerint a napokban „feltörték” a Békés Vármegyei Rendőr-főkapitányság Facebook-oldalát, és azon ismeretlen, arra jogosulatlan személy(ek) olyan információt tett(ek) közzé, mely nem kapcsolódik az érintett szervezet tevékenységéhez. Dr. Szombati Andrea rendőrségi szóvivő az eset után nem sokkal, a BEOL hírportálnak megerősítette: illetéktelen fért oldalukhoz. Az ott megjelenő tartalmak nem a rendőrség által nyilvánosságra hozott információk, a történtek miatt megtették a szükséges intézkedéseket.
Ezzel kapcsolatban több gondolat is felmerült bennem. A témához távolabbról közeledve érdekes tény, hogy a vármegyei rendőr-főkapitányságok Facebook megjelenése egyáltalán nem egységes. Vélhetően nincs központilag szabályozva, vagy a szabályzás nem elég részletes, esetleg nem érvényesül. A Baranya Vármegyei Rendőr-főkapitányság névkonvenciója BMRFK, típusa „Hír- és médiaoldal”, a Győr Moson Sopron Vármegyei Rendőr-főkapitányság oldalnak nincs egyedi profilneve, tevékenységét tekintve „Rendvédelmi szerv”, a Fejér Vármegyei Rendőr-főkapitányságnak Információs Portálja van FMRFK néven, mint „Állami szervezet”.
Ez azért fontos, mert egy ekkora szervezetnél sokat segíthet az információbiztonság érvényesülésén, ha egységes szabályozás és módszertan, arculat alapján, akár központi segítséggel adminisztrálnák ezeket az oldalakat. A második gondolat, hogy a feltörés alatt – nem ismerve az eset részleteit – vélhetően azt kell érteni, hogy jogosulatlan személynek az egyébként használatban levő felhasználónév-jelszó párossal sikerült belépni az oldal adminisztrációs felületére, és azt jogellenesen módosítani.
Az ilyen esetek mögött igen gyakran nem megfelelő jelszópolicy áll, például azért, mert a belépéshez használt email cím és jelszópáros valamikor már nyilvánosságra került, és azt nem módosítják rendszeresen. Az ilyen, vélhetően több személy által is használt rendszereknél, különösen fontos megszervezni a megfelelő erősségű, böngészőben el nem mentett jelszókezelés rendszerét, a jelszópolicy érvényesülését, esetleg a kétfaktoros authentikáció bevezetését.
A konkrét vármegyének az email címe (bekesmrfk@bekes.police.hu) és a hozzá tartozó jelszó legalább egyszer már érintett volt adatszivárgásban, ami természetesen nem feltétlenül jelent aktív sérülékenységet, ha minden rendszerben egyedi jelszó kerül beállításra, és az – megfelelő frekvenciával – módosításra kerül. Az sem mellékes, hogy milyen volt a kommunikáció az esetet követően. Az ilyen szervezeteknek fel kell készülniük a válságkommunikációra, és a kommunikációs csatorna kiesésére is.
A sajtóértesülések alapján annyit lehet erről tudni, hogy a kommunikáció abban merült ki, hogy a „közeljövőben közzé adják, hogy ezek után milyen felületen juttatják el a Facebookon az eddig megszokott információikat.” Ez szerintem több okból is érdekes. Egyfelől, miért kellene platformot váltani az eset miatt (nem a Facebook propagálása miatt, pusztán tényszerűen)? Miért gondolják, hogy a probléma megoldása nem lesz triviális? Végezetül: mégis hogyan érnének el ennyi embert, milyen alternatívája létezik ennek a platformnak (közös kommunikációs csatorna hiányában hogyan kommunikálják majd a kommunikációban részt nem vevő embereknek, hogy hol fognak kommunikálni)?
Mindenesetre a „támadó” vélhetően nagy Maggie Lindemann rajongó lehet, ha nem volt jobb dolga, mint a profilképet lecserélni az övére. Persze, vélhetően a választás nem tudatos volt, hanem csak egy véletlenszerűen kiválasztott kép, egy véletlenszerűen kiválasztott albumból.